Nastavení Mikrotik po zavirování

Návody a problémy s konfigurací.
lolek
Příspěvky: 5
Registrován: 4 months ago

Nastavení Mikrotik po zavirování

Příspěvekod lolek » 4 months ago

Zdravím ve spolek,

procházel jsem snad 4 hodiny toto fórum a hlavně témata odheldně napadených RB.
Svůj RB jsem přes Netinstal přehrál (v 6.42.6), zakázal ip/services vše krom winbox (který jako jediný používám pro správu jen pod jiným portem), změněno heslo a login.

Potřeboval bych nastavit zakázání přístpupu do winboxu a vlastně do všeho z WAN a případně další bezpečnostní řešení aby RB nebyl znovu heknutý a byl zabezpečen.
Můj ISP mi bloknul přístup k netu s poznámkou že není dostatečně zabezpečený.
Berte prosím ohled na samouka a neprofíka. Díky.
0 x

mirek.k
Příspěvky: 629
Registrován: 10 years ago

Příspěvekod mirek.k » 4 months ago

V services (nebo ve firewallu) lze definovat nejen povolené služby a jejich porty, ale také adresní rozsahy, z nichž mohou být dostupné.
Pokud tam dáte LAN rozsah, mělo by to být v pořádku.
Mirek
0 x

sutrus
Příspěvky: 60
Registrován: 11 months ago

Příspěvekod sutrus » 4 months ago

Standartně je ještě zapnuto "Allow remote Request" v DNS.
Pokud to necháš zapnuté je potřeba vyřešit otevřený port 53 z internetu ve firewallu.
Jinak omezení Winboxu na rosah lokalních adres určitě nastavit, ale to neznamená že směrem ven do internetu bude port zavřený.
Já to řeším bloknutím portu 8291 z internetu v Raw firewallu.
0 x

lolek
Příspěvky: 5
Registrován: 4 months ago

Příspěvekod lolek » 4 months ago

sutrus píše: Já to řeším bloknutím portu 8291 z internetu v Raw firewallu.


Můžeš mi prosím poslat screen kde tam a jak to vypadá? Díky.
0 x

lolek
Příspěvky: 5
Registrován: 4 months ago

Příspěvekod lolek » 4 months ago

a vysvětlil by mi prosím někdo ještě tyhle pravidla? https://ibb.co/hCPMrK
0 x

sutrus
Příspěvky: 60
Registrován: 11 months ago

Příspěvekod sutrus » 4 months ago

lolek píše:
sutrus píše: Já to řeším bloknutím portu 8291 z internetu v Raw firewallu.


Můžeš mi prosím poslat screen kde tam a jak to vypadá? Díky.

Kód: Vybrat vše

/ip firewall raw
add action=drop chain=prerouting comment="Drop WinBox from WAN" dst-port=8291 in-interface-list=WAN log=yes log-prefix="WinBox !LAN" protocol=tcp
add action=drop chain=prerouting comment="Drop WinBox from WAN" dst-port=8291 in-interface-list=WAN log=yes log-prefix="WinBox !LAN" protocol=udp

/ip firewall filter
add action=reject chain=input comment="Reject DNS from WAN" dst-port=53 protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input comment="Reject DNS from WAN" dst-port=53 protocol=udp reject-with=icmp-port-unreachable

Naposledy upravil(a) sutrus dne 05 Aug 2018 20:41, celkem upraveno 1 x.
0 x

sutrus
Příspěvky: 60
Registrován: 11 months ago

Příspěvekod sutrus » 4 months ago

lolek píše:a vysvětlil by mi prosím někdo ještě tyhle pravidla? https://ibb.co/hCPMrK

Co přesně chceš vysvětlit? Toto je základní nastavení firewallu a jednotlivá pravidla jsou popsaná.
0 x

lolek
Příspěvky: 5
Registrován: 4 months ago

Příspěvekod lolek » 3 months ago

sutrus píše:
lolek píše:Toto je základní nastavení firewallu a jednotlivá pravidla jsou popsaná.

Myslel jsem popsat "lajcky" česky.

A ještě jeden dotaz: Nastavil jsem na Winbox jiný port a konkrétiní IP ze které se můžu přihlásit.
Problém je v tom že když se přihlásím přes MAC adresu tak je jedno z které jsem IP a jaký mám port na Winbox.
Jak se to dá vyřešit?
0 x

ludvik
Příspěvky: 3980
Registrován: 7 years ago

Příspěvekod ludvik » 3 months ago

Nastavením MAC-Server.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

lolek
Příspěvky: 5
Registrován: 4 months ago

Příspěvekod lolek » 3 months ago

ludvik píše:Nastavením MAC-Server.
- Dííky.

Je ještě nějaké další nastavení zabezpečení které tady ještě nepadlo?
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 10 hostů